Professional Documents
Culture Documents
Bevezets
Az elektronikus alrsrl szl 2001. vi XXXV. trvny szerint az elektronikus alrs megfelel az rsba foglaltsg
kvetelmnyeinek, a minstett elektronikus alrssal hitelestett dokumentum pedig a polgri perrendtartsrl szl
trvny szerint teljes bizonyt erej magnokiratnak minsl. gy az elektronikus alrsrl szl jogszablyok a
letagadhatatlansg nven ismert mszaki fogalmat a bizonyt er nev jogi fogalomra vezetik vissza.
Brmekkora bizonyt ervel is rendelkezik egy elektronikus alrs, egy brsg - indokolt esetben - megkrdjelezheti
annak rvnyessgt. (Pldul, ha bizonythat, hogy az alrst nem az alr szemly, hanem pldul az szmtgpt
irnyt vrus hozta ltre.) A letagadhatatlansg mszaki fogalom, azt jelenti, hogy gyakorlatilag kizrhat, hogy egy adott
tanstvny alapjn elfogadhat alrst nem a tanstvnyhoz tartoz magnkulccsal hoztak ltre. Jogi rtelemben
letagadhatatlansgrl nem, hanem csak bizonyt errl beszlhetnk.
Egy elektronikus alrs kizrlag akkor rendelkezhet - jogi szempontbl - bizonyt ervel, ha "rvnyes", teht
letagadhatatlansga mszaki szempontbl bizonythat. Jelen dokumentumban klnbz alrsfajtkat tekintnk t,
amelyek elssorban abban trnek el egymstl, hogy milyen tovbbi bizonytkokat csatoltak az alrst jelent
bitfolyamhoz a ksbbi ellenrizhetsg rdekben, illetve hogyan llapthat meg az alrs ksztsnek idpontja, s
mi bizonytja, hogy az alr tanstvnya akkor mg rvnyes volt. Jogi szempontbl az itt trgyalt klnbz tpus
alrsok egyenrtkek, de a gyakorlatban elfordulhatnak olyan esetek, amikor - hosszabb-rvidebb id elteltvel -
bizonyos fajta alrsok letagadhatatlansga mszaki szempontbl megkrdjelezhet, s gy a hozz kapcsold
bizonyt er elvsz.
Szmos nemzetkzi szabvny foglalkozik az elektronikus alrs formtumval. Ezek kzl jelen dokumentumban az n.
XAdES elektronikus alrsokrl runk. Az itt lert alrsformtumok ETSI 101 903 - XML Advanced Electronic Signatures
(XAdES) nven eurpai (ETSI) szabvny szintjre emelkedtek. Haznkban e szles krben elterjedt formtumot nemcsak az
e-Szign alrs-ltrehoz program tmogatja, hanem szmos ms szoftver is, amelyek egyttmkdst a Magyar
Elektronikus Alrs Szvetsg az n. MELASZ-Ready interoperabilitsi tesztelsek keretben bizonytotta.
E dokumentumban azt mutatjuk be, hogy az egyes XAdES alrsok kzl melyik milyen problmt old meg, s mikor melyiket
clszer alkalmazni. A kvetkez XAdES alrs-tpusokat mutatjuk be:
Alap alrs (XAdES-BES avagy EPES)
Idblyeggel elltott alrs (XAdES-T)
Ellenrzsi hivatkozsokkal kiterjesztett alrs (XAdES-C) /eddig tart az n. Melasz-Ready formtum/
Ellenrzsi adatokkal kiterjesztett alrs (XAdES-X-L)
Archv alrs (XAdES-A)
Elektronikus alrs ltrehozsakor az alr egy dokumentumot hitelest. Aki rtelmezni szeretn az alrst, annak a
kvetkezkre van szksge:
az alrt dokumentumra (vagy dokumentumokra),
magra az alrsra,
az alr tanstvnyra, amely alapjn megllapthat, hogy az alr kicsoda, s ellenrizhet, hogy az alrst
valban hozta-e ltre.
Ha az alr (illetve az alr ltal hasznlt alrs-ltrehoz alkalmazs) csupn a fenti informcikat nyjtja t az alrst
ellenrz fl szmra (pldul egy e-akta formjban), akkor beszlnk alap alrsrl (XAdES-BES - basic electronic
signature).
1
1. bra - Alap alrs (XAdES-BES)
A "Hogyan kell ellenrizni egy elektronikus alrst?" cm dokumentumban rszletesen lerjuk, hogy az alrs
ellenrzsekor pontosan milyen lpseket kell vgrehajtani. Tbbek kztt fel kell pteni a tanstvnylncot. Ez azt
jelenti, hogy meg kell vizsglni, hogy az alr tanstvnyt melyik hitelests szolgltat adta ki (illetve ezen hitelests
szolgltat tanstvnyt melyik felsbb hitelests szolgltat adta ki stb.), s vissza kell vezetni az alr tanstvnyt egy
megbzhat hitelests szolgltat megbzhat gykrtanstvnyra.
(A tanstvnylnc csatolhat - a Melasz-Ready formtum szerint ktelez is csatolni - az alap alrshoz, de nem alrt elem.
gy az alrs nem kti meg, hogy t milyen tanstvnylnc szerint kell ellenrizni; egy adott tanstvnylnc szerint
ltrehozott alrs ms tanstvnylnc szerint is elfogadhat.)
Ellenrzskor a tanstvnylnc minden elemre meg kell vizsglni, hogy az adott tanstvny az alrs pillanatban
rvnyes volt-e. Mris eljutottunk egy nagyon izgalmas problmhoz: Az alrst ellenrz fl hogyan gyzdhet meg rla,
hogy az alrs mikor kszlt? A XAdES-BES alrs tartalmazza ugyan az alrs idpontjt, de ezen idpont nem megbzhat
forrsbl szrmazik - tipikusan az alr szmtgpe szerinti idpont kerl ide. Mivel az alr brmikor tllthatja a
szmtgpben lv rt, a XAdES-BES alrsban szerepl idpont alapjn nem szabad felels dntst hozni.
Mirt fontos, hogy pontosan mikor kszlt az alrs? Elfordulhat pldul, hogy egy tolvaj ellopja az alr intelligens
krtyjt, s valahogy hozzjut a krtya PIN kdjhoz is. (Ekkor mondjuk, hogy a krtyn lv alrs-ltrehoz adat
kompromittldott.) Ekkor a tolvaj pontosan ugyanolyan alrsokat hozhatna ltre, mint az alr. Ha az alr idben
szreveszi a lopst, felhvja a tanstvnyt kibocst hitelests szolgltatt, s letiltja (visszavonja) a krtyjhoz tartoz
tanstvnyt. gy a visszavons utn kszlt alrsok rvnytelenek, ezeket senki sem fogadja el.
Ha olyan alrst ellenrznk, amelyhez a tanstvny mr nem rvnyes, akkor meg kell gyzdni rla, hogy az alrs
akkor kszlt, amikor a tanstvny mg rvnyes volt.
A XAdES-BES alrs alapjn nem lehet megllaptani, hogy az alrs mikor kszlt. Ebbl kifolylag, ha az alr
tanstvnya lejr, vagy visszavonjk, akkor a XAdES-BES alrsok rvnyessge nem bizonythat. Ezrt azt javasoljuk,
hogy az alrson a lehet leggyorsabban (amg a XAdES-BES alrs mg rvnyes, azaz amg az alrshoz hasznlt
tanstvny rvnyes) helyezzk el egy idblyeget is, hogy a fenti problma ne fordulhasson el. Egyik lehetsg, hogy ezen
idblyeget rgtn az alr hozza ltre (azaz, ne XAdES-BES, hanem XAdES-T alrst ksztsen), msik lehetsg, hogy az
idblyeget az alrst befogad fl helyezi el. Lehetleg ne csak a XAdES-BES alrst rizzk meg, mert az alr brmikor
letagadhatja az ilyen alrst, ha a tanstvnyt visszavonatja.
Az idblyeggel elltott elektronikus alrs (XAdES-T, electronic signature with time) magban foglal egy XAdES-BES
alrst, amelyet idblyeg vd. Az idblyeg igazolja, hogy az alrs az idblyegzs pillanatban mr ltezett, vagyis
nem ksbb kszlt, s gy pldul az alr tanstvnynak lejrta vagy visszavonsa eltt jtt ltre. Az idblyeggel
elltott alrs a legegyszerbb olyan alrs, amely biztostja a mszaki rtelemben vett letagadhatatlansgot.
2
2. bra - Idblyeggel vdett alrs (XAdES-T)
Alrs ltrehozsakor clszer legalbb XAdES-T alrtst kszteni. Ezt kveten - amennyiben az adott dokumentum esetn
ez szksges - az alrs ksbb kiterjeszthet magasabb szint XAdES alrsokk is. Ezen kiterjesztst - a szabvny adta
lehetsgek kztt - nem felttlenl szksges az alrs pillanatban elvgezni, hanem ksbb is trtnhet.
A XAdES-T alrshoz tovbbi informcikat csatolhatunk, kztk olyan adatokat, amelyek a befogad szmra altmasztjk
az alrsunk rvnyessgt. A XAdES-C alrsokban elhelyezhetjk az alrsban mindazon visszavonsi informcikat (pl.
CRL-eket), amelyek igazoljk, hogy az alrshoz hasznlt tanstvny az alrs pillanatban rvnyes volt. Megtehetjk,
hogy magt a visszavonsi informcit csatoljuk az alrshoz, de az is lehet, hogy csak egy r mutat hivatkozst, URL-t
tesznk ide. Ha csak a hivatkozs kerl az alrsba, akkor kisebb alrst kapunk, de a hivatkozs csatolsa sokszor nem
elegend. A szabvnyok megengedik, hogy a hitelests szolgltat a visszavont s ksbb lejrt tanstvnyokat ne tntesse
fel a CRL-ben (azrt, hogy a CRL-ek idvel ne nvekedhessenek kezelhetetlenl nagyra), gy ha egy tanstvny mr lejrt,
utlag a CRL alapjn nem lehet megllaptani, hogy lejrat eltt visszavontk-e. (Tegyk fel, hogy egy tanstvnyt egy vvel
a lejrta eltt visszavontak. A tanstvny lejrta utn kibocstott CRL-ekbl nem biztos, hogy meg lehet llaptani, hogy a
tanstvny a lejrta eltt egy httel rvnyes volt-e.) Mivel a hitelests szolgltat nem kteles a korbbi CRL-eket is
kzztenni, ezrt a hossz ideig megrztt alrsokhoz lehet rtelme azon CRL-t hozzcsatolni, amely igazolja, hogy az
alrs rvnyes. Ez megknnytheti a ksbbi ellenrzseket. (OCSP-vel trtn ellenrzskor magt az OCSP vlaszt szoks
csatolni az alrshoz. Biztonsgos, rvid lejrat OCSP tanstvny esetn ennek csak akkor van rtelme, ha az OCSP
vlaszon is idblyeget helyeznk el, s gy mr a XAdES-X-L alrshoz jutottunk.)
Olyan XAdES-C alrs lehet Melasz-Ready alrs, amely tartalmazza az alrsra vonatkoz visszavonsi listkat is. A
visszavonsi listk esetn jelentkez kivrsi id miatt gyakran nem lehet azonnal XAdES-C alrst
ltrehozni, hanem a kvetkez visszavonsi lista megjelensig az alrs egy alacsonyabb
(pl. BES vagy -T) formtumban ltezhet. A Melasz-Ready ajnls ezrt BES/EPES s -T
formtum alrst is meghatroz.
Arrl szeretne olvasni, hogy a kivrsi id hogyan kezelhet CRL-ek, illetve OCSP vlaszok
segtsgvel?
3
Idblyeggel vdett visszavonsi informcikkal kiterjesztett alrs (XAdES-X-L)
Tovbbi visszavonsi informcikat is csatolhatunk a XAdES-C alrshoz. Pldul, a XAdES-C alrs magban foglal egy
idblyeget (ugyanis tartalmazza a XAdES-T alrst). Az idblyeg ellenrzshez az idblyegzre vonatkoz
tanstvnylncot is fel kell pteni, s az egyes tanstvnyok visszavonsi llapott ellenrizni kell - az alr
tanstvnyhoz hasonl mdon. Szintn csatolhatjuk a XAdES alrshoz az idblyegre vonatkoz visszavonsi listkat is.
Attl fggen, hogy pontosan milyen informcikat csatolunk, klnbz "magasabb" XAdES tpus alrsokhoz juthatunk.
A XAdES alrsban elhelyezett visszavonsi listkon a hitelests szolgltat elektronikus alrsa szerepel. Ezen alrs
rvnyessge - a vgfelhasznl ltal ltrehozott alrsok rvnyessghez hasonlan - addig bizonythat, amg a
hitelests szolgltat tanstvnya rvnyes. Ha azt szeretnnk, hogy a visszavonsi listk - s gy az alrsunk -
rvnyessge ezt kveten is igazolhat legyen, a visszavonsi informcikat is idblyeggel kell vdennk.
4
Az n. archv alrs magban foglal egy XAdES-X-L alrst, teht az alr tanstvnyt kibocst hitelests szolgltat
kzremkdse nlkl is ellenrizhet. A XAdES-A archv alrs tovbbi idblyegeket tartalmaz a XAdES-X-L-hez kpest,
amelyek a teljes XAdES-X-L alrst vdik.
Mirt van erre szksg?
A nyilvnos kulcs infrastruktra minden szerepljnek (nemcsak az alrknak, de a hitelests szolgltatknak s az
idblyegzs szolgltatknak is) van nyilvnos kulcsa s titkos kulcsa. A nyilvnos kulcsot minden szerepl hiteles mdon -
pldul tanstvny formjban - nyilvnossgra hozza, a titkos kulcsot pedig titokban tartja. A rendszer addig mkdhet
helyesen, amg e titkos kulcsot valban sikerl titokban tartani. Elfordulhat, hogy a titkos kulcs (amely az alrs-ltrehoz
adat szerept is betltheti) bizalmassga mgis megkrdjelezhet. Ilyen egyrszt akkor trtnhet, ha felttelezhet, hogy a
titkos kulcsot illetktelen szemly megszerezte. Msrszt, akkor is megkrdjelezhet egy titkos kulcs bizalmassga, ha a
tudomny s a technika fejldsvel lehetsgess vlik a titkos kulcs kiszmtsa a nyilvnos kulcs alapjn. Szerencsre, csak
nagyon ritkn kvetkezik be ekkora ttrs. A kulcsokat (s a kulcsokat hasznl kriptogrfiai algoritmusokat) gy szoktk
megvlasztani, hogy erre belthat idn bell egyltaln ne kerlhessen sor. Mgis elfordulhat, hogy bizonyos mret
kulcsok elavulnak (vagyis mr nem jelentenek biztonsgot), s ilyenkor hosszabb, nehezebben kitallhat kulcsot szoks
vlasztani, s gondoskodni kell a korbban alrt dokumentumokon lv alrsok vdelmrl.
Ha az az algoritmus s kulcsmret (pl: RSA algoritmus, 512 bit hossz kulccsal), amely segtsgvel az alr alrt, elavult,
akkor nem biztostott az alrs letagadhatatlansga. E pillanattl kezdve ugyanis - hiba tartotta az alr titokban a
magnkulcst - ms is ltrehozhatta az alrst az alr nevben. Az elavult algoritmussal ltrehozott alrs csak akkor
letagadhatatlan, ha - pldul idblyeg segtsgvel - bizonythat, hogy az alrs akkor kszlt, amikor az algoritmus
mg nem avult el.
Termszetesen az idblyeg is valamilyen kulcs s algoritmus segtsgvel kszl, s ezek is elavulhatnak. Az elavult
algoritmussal kszlt idblyeg - az elavult algoritmussal kszlt alrshoz hasonlan - nem rendelkezik bizonyt ervel. gy
egy elavult technolgival kszlt alrs letagadhatatlansgt csak egy olyan idblyeg bizonythatja, amely friss,
biztonsgos technolgival kszlt, de akkor, amikor az alrs ksztsre hasznlt technolgia mg nem volt elavult.
Elfordulhat pldul a kvetkez eset: Egy olyan XAdES-X-L alrst, amelyben az alrs s az idblyegek 512 bites RSA
algoritmussal kszltek (ez mra mr elavult technolginak minsl) 768 bites RSA algoritmussal kszlt idblyeggel vdtek
meg (mieltt az 512 bites RSA algoritmus elavult). Ezt kveten a 768 bites RSA-val kszlt idblyeggel megvdett XAdES-X-
L alrst (teht egy XAdES-A alrst) 1024 bites RSA algoritmussal kszlt archv idblyeggel vdtek meg, mieltt a 768
bites RSA algoritmus elavult volna. A 1024 bites RSA ma biztonsgosnak szmt, de az 1024 bites RSA-val kszlt idblyeggel
megvdett XAdES-A alrst clszer 2048 bites RSA-val kszlt idblyeggel is megvdeni. Ha az 1024 bites RSA elavul, akkor
a 2048 bites RSA vrhatan elg hossz ideig nyjt biztonsgot, amg az alrst 4096 bites RSA algoritmussal (vagy ms, a
2048 bites RSA-nl ersebb algoritmussal) kszlt idblyeggel is megvdik.
sszegzs
A XAdES-BES alrs jogilag rendelkezik az adott (fokozott biztonsg vagy minstett) elektronikus alrshoz
fzd bizonyt ervel, de mindez elvsz, amint az alr tanstvnya lejr vagy visszavonsra kerl.
E problma megolddik, ha a XAdES-BES alrst idblyeggel ltjuk el. Ezrt clszer legalbb XAdES-T
alrsokat ltrehozni. Ha ez valamilyen okbl - pldul, mert az alrst vgz gprl nem rhet el idblyegzs
szolgltats - clszer a lehet leghamarabb kiterjeszteni XAdES-T alrsra. E kiterjeszts brki elvgezheti.
Attl fggen, hogy milyen hosszan van szksg az alrs rvnyessgnek bizonytsra, az alrs kiterjeszthet
magasabb, akr XAdES-A alrss. Ezen kiterjeszts brmikor elvgezhet, amg a korbbi tpus alrs
rvnyessge megllapthat.
Alrt dokumentumok hossz tv archivlsra XAdES-A formtumot clszer hasznlni. Az ilyen alrs alapjn
a hitelests szolgltatk kzremkdse nlkl is igazolhat az alrs rvnyessge, ilyenkor egyedl a legkls
archv idblyegre vonatkoz visszavonsi informcit kell ellenrizni.
Kapcsold dokumentumok
6
idblyegzs szolgltat tanstvnya rvnyes. Az digitlis archivls szablyairl szl (7/2005) IHM rendelet legfeljebb
10 vig fogadja el az gy vdett dokumentumokat hitelesnek.
A kvetkez okok miatt veszhet el egy idblyeggel vdett alrs hitelessge:
Az idblyegz tanstvnya lejr. Ez tervezhet, elre szmolhatunk vele.
Az idblyegz tanstvnyt visszavonjk (mert az idblyegzsre hasznlt kulcs illetktelen kezekbe kerlt). Ez
hirtelen esemny, nem kszlhetnk fel r elre.
A tudomny s a technolgia fejldse miatt a rgi technolgival kszlt alrsok s idblyegek "feltrhetv",
hamisthatv vlnak. Ezzel ltalban elre szmolhatunk, de nha vratlan, ugrsszer fejlds is trtnik. Ez
klnsen veszlyes, mert ekkor minden, rgi technolgival kszlt idblyeg hitelessge megkrdjelezhetv
vlik.
Bevezets
Amikor valaki dntst hoz egy elektronikusan alrt dokumentum alapjn, eltte ellenriznie kell a dokumentumon az
alrst. Az alrs ellenrzse bonyolult folyamat, a lpsek tbbsgt szmtgp - pldul az e-Szign program
segtsgvel - is elvgezheti az ember helyett.
Az alrst ellenrz felhasznlnak nemcsak magt az alrst kell ellenriznie, hanem az alrs ellenrzsnek
keretben ellenriznie kell az alr tanstvnyt is. A tanstvny ellenrzsekor a tanstvnyra vonatkoz hitelestsi
rend szerint kell eljrnia, amelyet a tanstvnyt kibocst hitelests szolgltat bocstott ki. (E hitelestsi rend OID
azonostja megtallhat minden, az RFC 3280-nak (illetve RFC 5280-nak) megfelel tanstvny Certificate Policies
(tanstvny irnyelv) mezejben. Gyakran megtallhat itt a hitelestsi rend internetes elrhetsge is.) Ha a felhasznl
nem a hitelestsi rend szerint ellenrzi a tanstvny ellenrzst, a hitelests szolgltat ltalban kizrja minden
felelssgt a tanstvnnyal kapcsolatban. A hitelests szolgltatnak akkor llhat fent felelssge, ha a tanstvnnyal
kapcsolatban a hibt kvetett el - pldul, a tanstvny alanya krte a tanstvny visszavonst, de a hitelests
szolgltat ezt mg nem tette kzz.
A hitelests szolgltat ltalban nem magban a hitelestsi rendben, hanem a szolgltatsi szablyzatban rja le a
kvetelmnyeket, a hitelestsi rendben csak meghivatkozza ket.
Hasonl megllaptsok rvnyesek idblyegek s OCSP vlaszok ellenrzsre is, egyetlen klnbsg, hogy idblyegek
esetn nem a hitelestsi rend, hanem az idblyegzsi rend az irnyad.
Jelen dokumentum az e-Szign Hitelests Szolgltat ltal kibocstott tanstvnyok, s az azok alapjn kszlt alrsok
ellenrzsnek mdjt rja le. Ms szolgltatk tanstvnyait is hasonlan kell ellenrizni, amennyiben az
szolgltatsaik is ugyanezen jogszablyoknak, szabvnyoknak s ajnlsoknak felelnek meg. Az itt lert lpsek a hatlyos
jogszablyokbl, a nemzetkzi szabvnyokbl s ajnlsokbl, valamint az ltalunk nyjtott szolgltatsok halmazbl
egyenesen levezethetek, hozzjuk kpest semmilyen tovbbi kvetelmnyt nem tartalmaznak. E lpsek a jogszablyokban,
szabvnyokban, ajnlsokban felsorolt kvetelmnyeket fejtik ki. Az itt lertak megtallhatak az e-Szign Hitelests
Szolgltat szolgltatsi szablyzatban, s ms hitelests szolgltatk esetn az szolgltatsi szablyzatukban is -
legfeljebb ms rszletessggel.
Alrs ellenrzse
Aki "sszeren kvn egy minstett elektronikus alrsra hagyatkozni", a kvetkez lpseket kell elvgeznie:
1. Ellenriznie kell, hogy az alrs valban az alr tanstvnyhoz tartozik-e.
2. Ellenriznie kell, hogy az alr tanstvnya nem jrt-e le, vagyis az alrs idpontja (amely pldul az
idblyegekbl llapthat meg) a tanstvny rvnyessgi idejn bellre esik-e. (Ha az alrson nincsen
idblyeg, akkor ezt a lpst nem lehet megbzhatan elvgezni.)
7
3. Ellenriznie kell, hogy az alrt dokumentum nem nagyobb pnzsszegrl (vagy nagyobb pnzsszegnek megfelel
pldul eszmei vagy erklcsi rtkrl) szl-e, mint amekkora pnzgyi tranzakcis korlt (tranzakcis limit) a hozz
tartoz tanstvnyban szerepel.
4. Ellenriznie kell a tanstvny visszavonsi llapott. (Ha az alrson nincsen idblyeg, akkor elfordulhat, hogy
ezt a lpst nem lehet megbzhatan elvgezni.)) Erre a kvetkez lehetsgei vannak:
1. Online tanstvny llapot (OCSP) szolgltats: Az alrs idpillanatban lekrt OCSP vlasz mindig pontos
s helyes eredmnyt ad a tanstvny visszavonsi llapotrl. Ez a leggyorsabb s legbiztonsgosabb mdja
egy tanstvny visszavonsi llapotnak ellenrzsnek. (A ksbb lekrt OCSP vlaszok mr csak a
tanstvny ksbbi visszavonsi llapotra vonatkoznak.)
2. Az alrs idpillanatban lekrt delta CRL-en szintn mindig helyes eredmny szerepel, mert a Szolgltat
mindig j delta CRL-t bocst ki, ha egy tanstvny llapota megvltozik. A ksbb lekrt delta CRL-ekbl
mr nem biztos, hogy meg lehet llaptani az alrs idpontjban rvnyes visszavonsi llapotot.
3. A Szolgltat nem bocst ki minden esemnykor CRL-t, gy az alrs idpontjban rvnyes CRL nem
biztos, hogy a helyes visszavonsi llapotot tartalmazza. A visszavonsi llapotot a kvetkez CRL alapjn
lehet megbzhatan ellenrizni.
5. Ellenrizni kell a "Qualified e-Szigno CA" hitelest egysg tanstvnynak rvnyessgi idejt s visszavonsi
llapott. Ez utbbit csak CRL s OCSP alapjn lehet ellenrizni, amelyek kzl a fent lert okok miatt clszer az
OCSP-t vlasztani.
Aki OCSP vlaszra kvn hagyatkozni, a kvetkezket kell tennie: Tanstvny-llapot vlasz (OCSP vlasz) ellenrzsekor
meg kell vizsglni a vlaszon lv alrs rvnyessgt, valamint azt, hogy a vlasz valban az e-Szign Hitelests
Szolgltat vlaszadjtl (e-Szign OCSP Responder) szrmazik-e. A vlaszad tanstvnyt kibocst hitelest egysg ("e-
Szigno OCSP CA") tanstvnya a www.e-szigno.hu honlaprl elrhet. Emellett ellenrizni kell azt is, hogy az OCSP
vlaszad tanstvnya az OCSP lekrdezs idpontjban rvnyes volt-e.
OCSP vlaszt kizrlag akkor szabad rvnyesnek tekinteni, ha igazolhat, hogy az OCSP vlasz kibocstsnak pillanatban a
vlaszad rvnyes tanstvnnyal rendelkezett. Ez akkor igaz, ha:
A vlaszad tanstvnya mg rvnyes.
A vlaszad tanstvnya mr nem rvnyes, de - pldul idblyeg alapjn - igazolhat, hogy az OCSP vlaszad
tanstvnya a vlasz kibocstsa pillanatban rvnyes volt.
Idblyeg ellenrzse
Aki idblyegre kvn hagyatkozni, a kvetkezket kell tennie: Idblyeg ellenrzsekor meg kell vizsglni, hogy az idblyeg
valban a leblyegzett dokumentumhoz tartozik-e, valamint azt, hogy az idblyegz egysg tanstvnya nem jrt-e le,
illetve nem vontk-e vissza. Ha az idblyegz egysg tanstvnyt azrt vontk vissza, mert az idblyegz egysghez
tartoz alrs-ltrehoz adat illetktelen kezekbe jutott (vagy a visszavons oka nem megllapthat), akkor minden, e
tanstvny alapjn kibocstott, idblyeget (visszamenleg is) rvnytelennek kell tekinteni. (Lsd: RFC 3161, 4. fejezet,
1. s 2. pont) Vits esetben az egyes idblyegek rvnyessge a Szolgltat biztonsgos naplfjljai segtsgvel
bizonythat.
Ha az idblyegz egysg tanstvnyt ms okbl vontk vissza, akkor csak a visszavonst kveten kibocstott idblyegek
rvnytelenek. (Lsd: RFC 3161, 4. fejezet, 1. s 2. pont)
Az idblyegz egysg tanstvnyt a vgfelhasznli tanstvnyokval megegyez mdon kell ellenrizni. A fentiek miatt,
minden egyes alkalommal, amikor egy rintett fl idblyegre kvn hagyatkozni, minden egyes alkalommal ellenriznie kell
az idblyegz tanstvnynak aktulis visszavonsi llapott. Idblyegekkel elltott alrs esetben ezt a legkls
idblyegre kell elvgezni. (Lsd: CWA 14171, 5.4.7.3. fejezet illetve RFC 3161, 2.2. s 4. fejezet)
Kapcsold dokumentumok
8
Frisstve 2008. 05. 15-n: kiegszts az idblyeggel kapcsolatban, fogalmak frisstse, hivatkozs az RFC 5280-ra.
Frisstve 2008. 11. 20-n: hivatkozs a nem PKI alap bizonytkokra.
Bevezets
Ha egy tanstvnyhoz tartoz titkos kulcs elvsz (kompromittldik), a tanstvnyt vissza kell vonni. Pldul, ha egy
tanstvnyhoz tartoz intelligens krtyt ellopjk, a krtyabirtokos haladktalanul be kell, hogy jelentse ezt a tanstvnyt
kibocst hitelests szolgltatnak, aki visszavonja a tanstvnyt.
A hitelests szolgltat kteles a visszavonst kzztenni, hogy minden rintett fl rtesljn a visszavonsrl. Aki a
tanstvnyt ellenrzi, annak minden esetben meg kell vizsglnia, hogy a hitelests szolgltat nem tette-e mg kzz a
tanstvny visszavonst. A fentiek miatt a visszavont tanstvnyokkal tbb nem lehet visszalni.
A tanstvnyok visszavonsnak kzzttelre ma kt klnbz technolgia terjedt el. Az egyik a visszavonsi lista (CRL), a
msik pedig az online tanstvny-llapot szolgltats (OCSP). E dokumentum e kt technolgit hasonltja ssze.
Egy plda
Ttelezzk, fel, hogy az "alr" tanstvnyt "CA1" bocstotta ki, CA1 tanstvnyt pedig a "root CA".
A fent hivatkozott nemzetkzi specifikcik szerint az ellenrzst - belertve a visszavonsi nyilvntartsok lekrdezst
is - a teljes tanstvnylncra el kell vgezni. A fenti listbl a 3. lps sem hagyhat el, mert - br a CA-k vigyznak az
alrkulcsaikra - mgis van r esly, hogy azok kompromittldnak; ezrt a fenti specifikcik is megkvetelik e lps
elvgzst.
(A fenti lpsek alapjn az alrs rvnyessgre vonatkoz PKI bizonytkokat vizsgljuk meg. Megjegyezzk, hogy az
alrs elfogadshoz nem kizrlag PKI bizonytkokra lehet szksg (pl. elfordulhat, hogy az alr tvedsbl vagy
knyszer alatt rt al egy dokumentumot, vagy nem jelentette kulcsnak kompromittldst), gy egy elektronikus alrs
befogadsrl - a papr alap alrsok esethez hasonlan - clszer az sszes rendelkezsre ll informci alapjn
dnteni, s az esetleges nem PKI alap bizonytkokat is figyelembe venni.)
Ha a fenti ellenrzseket elvgeztk, az sszegyjttt hiteles visszavonsi informcikbl idblyegek segtsgvel
szabvnyos (pl. az ETSI TS 101 903 (XAdES) specifikciban definilt XAdES-C vagy XAdES-A
formtum) blokk kpezhet, mellyel ksbb is igazolhatjuk, hogy a szksges ellenrzsi
lpseket elvgeztk, s sszeren hagyatkoztunk a tanstvnyra.
9
Ha ezt nem tesszk meg, ksbb nem felttlenl tudjuk bizonytani, hogy a szksges ellenrzsi lpseket valban
elvgeztk. gy ha valaki megkrdjelezheti alrsunkat arra hivatkozva, hogy az alrs ms idpontban kszlt, vagy akkor
a krdses tanstvny mr lejrt vagy felfggesztsre esetleg visszavonsra kerlt. Ha az elektronikus alrst fontos clra
hasznljuk - klnsen ha teljes bizonyt erej magnokiratot vagy kzokiratot szeretnnk a segtsgvel ltrehozni - elemi
rdeknk, hogy az alrst ksbb ne lehessen megkrdjelezni vagy letagadni, vagyis a visszavonsi informcikat (vagy
azok hivatkozsait) hitelesen csatolnunk kell az alrshoz.
Ha a fenti 2. s a 3. lpst a CRL technolgia segtsgvel szeretnnk elvgezni, a kvetkez problma merl fel: A CWA
14171 szerint azt kell ellenriznnk, hogy a tanstvny az alrs idpontjban rvnyes volt-e, de az alrs pillanatban
jellemzen csak egy korbbi, az alrs idpontjt megelzen kibocstott CRL ll rendelkezsre. Ennek megfelelen - a CWA
14171 s az ETSI TS 101 933 szerint - a kvetkez CRL megjelenst kell megvrnunk, s az alrshoz a kvetkez CRL-t
kell csatolnunk.
A magyar hitelests szolgltatk vgfelhasznli tanstvnyokat kibocst hitelest egysgei 24 rnknt bocstanak ki
CRL-t (de amennyiben visszavonsi krs rkezik hozzjuk 4 rn bell soron kvli CRL-t bocstnak ki). Ez annyit jelent,
hogy az elektronikus alrs ltrehozst kveten akr 24 rt kell vrnia annak, aki ksbb igazolni szeretn, hogy valban
krltekinten jrt el az alrs elfogadsa sorn. (Az alrs rvnyessgrl mr akkor is meggyzdhetnk, ha az alrs
idpontjt kveten 4 rig nem jelent meg j CRL. Csakhogy, ekkor mg nincs a keznkben olyan bizonytk - CRL vagy
OCSP vlasz - amely alapjn ksbb igazolhatjuk, hogy valban krltekinten jrtunk el.)
Azon leghosszabb idtartamot, amit az alrs ltrehozst kveten ki kell vrnunk ahhoz, hogy az alrst elfogadhassuk,
kivrsi idnek (grace period) nevezzk. (Ezen idtartam a fenti esetben 4 ra.) Ha archv (XAdES-A) alrst szeretnnk
ltrehozni (ami clszer, ha fontos alrsrl van sz, amit ksbb is meg szeretnnk rizni), akkor ennl tovbb kell
vrnunk; meg kell vrnunk az els, az alrst idpontjt kveten kibocstott, az alrs szempontjbl relevns
visszavonsi informci megjelenst. (Ezen idtartam a fenti esetben legfeljebb 24 ra.) A gyakorlatban slyos problmt
jelenthet, ha egy gynek pusztn az alrs ellenrizhetsge miatt kell vrakoznia. Tovbbra is jelentsen tbb idbe
telhetne a dokumentum hitelestse, mint a dokumentum elksztse.)
10
Tekintetbe vve, hogy a CRL technolgia segtsgvel nincsen lehetsg a kivrsi id elkerlsre, az gyfelek szmra
pedig - klnsen kzokiratok s teljes bizonyt erej magnokiratok ltrehozsa esetn - nem megengedhet meg sem a 24
rs, sem a 4 rs vrakozs, a Microsec Kft. - Magyarorszgon elsknt - gy dnttt, hogy OCSP szolgltats segtsgvel is
kzzteszi a tanstvnyok visszavonsi llapott.
Az OCSP az RFC 2560 specifikciban definilt online szolgltats, amelynek keretben egy tanstvny llapotra
krdezhetnk r, s azonnali, hiteles, alrt vlaszt kapunk a krdsre.
OCSP segtsgvel megoldhat, hogy friss, hiteles bizonytkra tegynk szert a tanstvny aktulis visszavonsi llapotrl.
Ehhez az szksges, hogy a hitelests szolgltat nagyon gyorsan (akr az alrs ksztsvel, illetve ellenrzsvel
sszemrhet id alatt) feldolgozza a visszavonsi krelmeket, s kzztegye a tanstvnyok megvltozott visszavonsi
llapott. Ekkor megoldhat, hogy ha az alrs pillanatt kveten rkrdeznk a tanstvny visszavonsi llapotra, akkor
azonnali, friss, hiteles, s az adott idpontra vonatkoz vlaszt kapjunk. Ekkor OCSP segtsgvel kzvetlenl az alrs
ltrehozsa utn is megbizonyosodhatunk az alrs rvnyessgrl, s akr archv (XAdES-A) alrst is kszthetnk.
Megjegyezzk, hogy az RFC 2560 szerint a fent lertaktl eltr mdon is nyjthat az OCSP szolgltats: A specifikci
megengedi, hogy a hitelests szolgltat a CRL-hez hasonl mdon elre generlt OCSP vlaszokat adjon, amelyek nem
jelentenek friss bizonytkot, s a kivrsi id problmi ugyangy felmerlnek. Ekkor az OCSP mindssze anniyban
elnysebb a CRL-nl, hogy az OCSP vlaszok jellemzen kisebbek, mint a CRL-ek.
Az OCSP szolgltats a CRL-nl gyorsabb, korszerbb, rugalmasabb s - a hatkonyabb ellenrzs miatt - biztonsgosabb a
CRL technolginl. Mgis elfordulhat, hogy valakinek nincsen szksge az OCSP nyjtotta elnykre s elg neki a CRL
hasznlata is.
Elfordulhat, hogy valaki gy is elfogad egy alrst, hogy a kivrsi idt nem vrja ki, vagy esetleg nem rzi meg az
alrs rvnyessgt igazol bizonytkokat. Ez kockzatot jelenthet, e kockzat bizonyos esetekben elfogadhat
lehet.
Elfordulhat, hogy valakinek elenged megvrnia, amg az alrshoz szksges minden visszavonsi informcit
sszegyjttt, mert nem kell srgsen dntenie az alrssal kapcsolatban. (E vrakozs a vlasztott megoldstl
fggen 4 rt, 24 rt vagy akr 1 hnapot is jelenthet.)
Igaz, hogy az OCSP vlasz jellemzen kisebb, mint a CRL, de egyazon CRL egyszerre tbb tanstvny visszavonsi
llapott is lerja, mg minden tanstvnyhoz klnbz OCSP vlasz tartozik. gy elfordulhatnak olyan szlssges
esetek, amikor a CRL helytakarkosabb megoldst jelent.
Olyan alkalmazs esetn, amikor elegend ellenrizni egy tanstvny rvnyessgt, de ksbb nem szksges
bizonytani azt senkinek. Ez esetben elegend lehet az esemnyvezrelt CRL hasznlata is, feltve, hogy
megbizonyosodtunk rla, hogy a CRL valban esemnyvezrelt.
Aki valban ki szeretn hasznlni az elektronikus alrsra alapul elektronikus gyintzs nyjtotta gyorsasgot, annak
egyrtelmen OCSP szolgltatsunkat ajnljuk.
Bevezets
Jelen dokumentum kt klnbz OCSP megolds biztonsgt veti ssze. Az egyik esetben a hitelests szolgltat OCSP
vlaszadjnak tanstvnya "rvid" (pl. 10 perces), a msik esetben hossz (pl. 1 v) lejrat. E dokumentum megmutatja,
hogy a felhasznlk tbbletkockzatot vllalnak, ha olyan hitelests szolgltattl vesznek tanstvnyt (illetve olyan
hitelests szolgltat tanstvnya alapjn alrt dokumentumot fogadnak el), amely hossz lejrat OCSP vlaszad
tanstvnyt hasznl.
A tanstvnyok visszavonsi llapotnak ellenrzsre tbb mdszer ltezik. Az egyik megolds a periodikusan megjelen
visszavonsi listk (CRL) letltse a tanstvny kibocstjtl.
Egy msik mdszer az on-line tanstvny llapot ellenrzs (OCSP), amikor online rkezik krds az egyes tanstvnyok
visszavonsi llapotra. E krsekre a hitelests szolgltat n. OCSP vlaszadja ad online hiteles (alrt) vlaszt. Az OCSP
vlaszad olyan tanstvnnyal rendelkezik, amellyel kizrlag OCSP vlaszokat rhat al.
Mindig szksges egy olyan kulcs (a legfelsbb szint hitelests szolgltat, az n. trust anchor), amelyet mindig
rvnyesnek s mindig megbzhatnak fogadunk el. Az ilyen kulcsok visszavonsi llapott nem lehet a nyilvnos kulcs
infrastruktra segtsgvel ellenrizni, az esetleges kompromittldst ms csatornn (pl. mdia) kell kzztenni. Ilyen trust
anchor pldul a hitelests szolgltatk root CA-jnak kulcsa.
11
AZ OCSP vlaszad tanstvnynak ellenrzse
Felmerl a krds, hogy az OCSP vlaszad tanstvnynak visszavonsi llapott milyen mdon kell ellenrizni.
Ha a hitelests szolgltat az OCSP vlaszad egysg tanstvnynak visszavonsi llapott is CRL-en teszi kzz, akkor az
OCSP f elnye vsz el, ugyanis nem lehet a teljes tanstvnylncot online mdon hitelesen ellenrizni. Ha az OCSP
vlaszad tanstvnyt is egy OCSP vlasz alapjn szeretnnk ellenrizni, akkor tovbbra is ellenriznnk kell ezen vlaszt
ad OCSP vlaszad tanstvnynak visszavonsi llapott. Ezltal knnyen rdgi krbe kerlhetnk, s az ellenrzs soha
nem rne vget.
A msik lehetsg az, hogy a felhasznlnak meg kell bznia az OCSP vlaszad tanstvnyban, amg az rvnyes (azaz nem
jrt le), s egyltaln nem kell ellenriznie a visszavonsi llapott. Ez pldul gy is megoldhat, ha be van lltva a "pkix-
ocsp-nocheck" az OCSP vlaszad tanstvnyban.
Ha az OCSP vlaszad titkos kulcsa valami miatt kompromitldik, a tmad az OCSP vlaszokat hamisthat a hitelests
szolgltat nevben. Ekkor a tmad az OCSP vlaszokat nemcsak az adott idpillanatra vonatkozan hamisthatja, hanem
visszadtumozott hamis OCSP vlaszokat is ltrehozhat. A visszadtumozott OCSP vlaszokkal csak akkor tud a tmad
rvnyesnek ltsz XAdES-A alrst ltrehozni, ha a XAdES szabvnynak megfelelen az OCSP vlaszhoz tartoz idblyeget
is tud szerezni. A XAdES-A szerint az OCSP vlaszt olyan idblyeggel kell elltni, amely az OCSP vlaszad tanstvnynak
rvnyessgn bell van.
Addig a pillanatig, amg a hitelests szolgltat tudomst nem szerez az OCSP vlaszad kulcsnak kompromittldsrl, a
rvid s a hossz ideig rvnyes OCSP tanstvnyok egyenrtkek.
A klnbsg akkor jelentkezik, ha a hitelests szolgltat tudomsra jut, hogy az OCSP vlaszad titkos kulcsa
kompromittldott:
Ha az OCSP vlaszadjnak tanstvnya mindig csak rvid ideig (5-10 percig) rvnyes, a hitelests szolgltat
azzal teszi rvnytelenn a vlaszad tanstvnyt, hogy nem bocst ki j tanstvnyt a kompromittldott
kulcshoz. Amint a legutols tanstvny lejr, a kompromittldott kulccsal hamistott OCSP vlaszok alapjn nem
lehet rvnyes XAdES-A alrst ltrehozni:
o A kompromittldott kulcshoz az adott idpillanattl nem tartozik rvnyes tanstvny, gy a tmad nem
kpes elredtumozott, vagy az adott idpillanatra vonatkoz OCSP vlaszokat hamistani.
o A kompromittldott kulccsal a tmad ltre tud hozni rvnyesnek ltsz visszadtumozott OCSP vlaszt,
de nem kpes rjuk olyan idblyeget szerezni, amelyhez az adott kulcshoz tartoz, rvnyes OCSP
vlaszad tanstvny is tartozik, mert a tmadnak visszadtumozott idblyegre volna szksge.
A hitelests szolgltat nem jr el krltekinten, ha csupn a sajt gyfeleit rtesti az OCSP vlaszad titkos
kulcsnak kompromittldsrl, mert harmadik felek is - pldul XAdES-A alrsokban lv OCSP vlaszok esetn -
hozhatnak OCSP vlasz alapjn lnyeges dntseket. Az sszes rintett fl megbzhat mdon trtn rtestse
nehz feladat; ersen megkrdjelezhet, hogy minden rintett fl hozzjut-e gy a szksges informcikhoz.
Ezt kveten, ha egy felhasznl (vagy valamely ms rintett fl, aki a szolgltatval nincsen szerzdses
viszonyban) OCSP vlaszt lt, meg kell vizsglnia, hogy az nem a kompromittldott kulccsal kszlt-e. Ha az OCSP
vlasz a kompromittldott kulccsal kszlt:
o A kulcs-kompromittldst kvet dtumot tartalmaz OCSP vlaszok mindenkppen rvnytelenek.
o A hossz ideig rvnyes OCSP vlaszadi tanstvnyok miatt elfordulhat, hogy egy vlasz a
kulcskompromittlds eltt kszlt, de mg nem vdi rvnyes idblyeg. Az idblyeggel nem vdett
OCSP vlaszokat visszamenleg is mind rvnytelennek kell tekinteni. gy egyes elektronikus alrsok
rvnyessge visszamenleg is megkrdjelezhet, teht srlhet az alrsok letagadhatatlansga.
Az OCSP vlaszad kulcsa viszonylag kiszolgltatott helyzetben van, mert az OCSP krsek kvlrl rkeznek, teht az
alrand OCSP krsek tartalmt nem a hitelests szolgltat lltja ssze. gy egy tmadnak tbb lehetsge van n.
vlasztott szveg alap tmads (chosen plaintext attack) vgrehajtsra, mint pldul egy tanstvnyok (s CRL-ek)
alrsra hasznlt szolgltati tanstvny esetn. A szolgltati kulcsok kzl egyedl az OCSP s az idblyegz kulcs van
ilyen kiszolgltatott helyzetben, de ezek kzl az idblyegz kulcst knnyen vissza lehet vonni CRL illetve OCSP
segtsgvel, mg az OCSP kulcsnak visszavonsa viszont felettbb krlmnyes.
Ezrt clszer, ha az OCSP vlaszad kulcsa kellen hossz, s mindenkppen fel kell kszlni arra az esetre is, hogy mi
trtnik, ha a vlaszad kulcsa mgis kompromittldik.
sszefoglals
A fentiekbl lthat, hogy a rvid ideig rvnyes OCSP vlaszadi tanstvnyok sokkal kisebb kockzatot jelentenek a hossz
ideig rvnyes tanstvnyokkal szemben. Tekintetbe vve, hogy a rvid ideig rvnyes OCSP vlaszadi tanstvnyokra
12
pl rendszer megvalstsa nem nehz feladat, felesleges tbbletkockzatnak tartjuk olyan rendszer alkalmazst, amely
hossz ideig rvnyes OCSP vlaszadi tanstvnyokra pl.
13